Open edXのopenedxにおけるサーバサイドのリクエストフォージェリの脆弱性
| Title |
Open edXのopenedxにおけるサーバサイドのリクエストフォージェリの脆弱性
|
| Summary |
Open edXプラットフォームは、あらゆる規模のオンライン学習を作成および提供することを可能にします。SAMLProviderDataViewSetのsync_provider_dataエンドポイントは、認証されたEnterprise Adminユーザーがmetadata_urlというPOSTパラメータを通じて任意のURLを提供できるようにしています。このURLはfetch_metadata_xml()内でrequests.get()に直接渡されており、URLの検証、IPフィルタリング、スキームの強制が行われていません。Enterprise Admin権限を持つ攻撃者は、サーバーに対して内部ネットワークサービスやクラウドメタデータエンドポイント(例:AWSの169.254.169.254)、または他の攻撃者が制御する宛先へのHTTPリクエストを強制することが可能です。この脆弱性は、コミット6fda1f120ff5a590d120ae1180185525f399c6d0および70a56246dd9c9df57c596e64bdd8a11b1d9da054によって修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 11, 2026, midnight |
| Registration Date |
May 15, 2026, 11 a.m. |
| Last Update |
May 15, 2026, 11 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.9
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Affected System
| Open edX |
|
openedx 2026-04-24 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月15日]
掲載 |
May 15, 2026, 11 a.m. |
NVD Vulnerability Information
CVE-2026-42858
| Summary |
Open edX Platform enables the authoring and delivery of online learning at any scale. The sync_provider_data endpoint in SAMLProviderDataViewSet allows authenticated Enterprise Admin users to supply an arbitrary URL via the metadata_url POST parameter. This URL is passed directly to requests.get() in fetch_metadata_xml() without any URL validation, IP filtering, or scheme enforcement. An attacker with Enterprise Admin privileges can force the server to make HTTP requests to internal network services, cloud metadata endpoints (e.g., AWS 169.254.169.254), or other attacker-controlled destinations. This vulnerability is fixed by commit 6fda1f120ff5a590d120ae1180185525f399c6d0 and 70a56246dd9c9df57c596e64bdd8a11b1d9da054.
|
| Publication Date |
May 12, 2026, 3:16 a.m. |
| Registration Date |
May 12, 2026, 4:14 a.m. |
| Last Update |
May 13, 2026, 11:53 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:openedx:openedx:*:*:*:*:*:*:*:* |
|
|
|
2026-04-24 |
Related information, measures and tools
Common Vulnerabilities List